Ho trovato un'immagine jpeg su un server che conteneva la stringa <?php
. Il server ospita anche un'applicazione scritta in PHP. I contenuti dell'immagine che arrivano dopo la stringa <?php
non sono ascii.
Non riesco a trovare nulla nel file che sembra essere un codice PHP valido, eppure non sono disposto ad accettare che la stringa <?php
appaia nel file casualmente.
L'immagine jpeg è visualizzabile in Windows, ma mostra chiaramente anomalie visive di circa 1/3 della via verso il basso. Salvando la parte dell'immagine che inizia con <?php
come immagine jpeg separata e visualizzandola come un'immagine, si conferma che le anomalie visive iniziano nello stesso punto in cui si verifica la stringa <?php
.
Sono ragionevolmente certo che questa immagine contenga PHP dannoso, ma i miei tentativi di rilevare codice PHP eseguibile non sono riusciti.
Modifica
Questa immagine presenta anomalie visive che iniziano nel punto della stringa "<? php" e continuano fino alla fine dell'immagine. Per il test, ho preso un jpeg diverso (noto come sicuro), l'ho aperto in un editor di testo e ho aggiunto la stringa "<? Php" da qualche parte nel mezzo. L'immagine di prova ha zero anomalie visive. Ciò implica che l'immagine in questione non solo è stata alterata maliziosamente per contenere la stringa "<? Php", ma che ci sono state ulteriori modifiche apportate dopo alla stringa "<? Php". Sembra probabile che questa immagine in qualche modo contenga codice PHP eseguibile.
-
Questa immagine può contenere effettivamente PHP eseguibile valido codificato in modo da non essere leggibile all'interno di un editor di testo?
Come posso confermare e / o tradurre il contenuto del file immagine in modo che possa determinare cosa ha fatto il malware?
Modifica
L'immagine è allegata
Diseguitol'immagineprimaèstatamodificata